Un nuovo rapporto di CertiK collega in modo diretto il riciclaggio con Tornado Cash al maxi furto da 282 milioni di dollari su un portafoglio crypto compromesso il 10 gennaio.
Summary
Nuovi flussi di fondi collegano Tornado Cash all’hack
L’ultimo aggiornamento di CertiK collega circa 63 milioni di dollari di flussi passati da Tornado Cash al maxi attacco al wallet da 282 milioni. L’azienda di cybersecurity ha individuato nuova attività di riciclaggio e confermato ulteriori movimenti di fondi riconducibili alla violazione.
Secondo l’analisi, la scoperta amplia la cronologia delle operazioni successive al furto iniziale. Inoltre, mette in luce una strategia di occultamento strutturata, che combina trasferimenti cross-chain, frammentazione degli importi e uso sistematico di mixer.
Percorso di riciclaggio esteso tra trasferimenti e mixer
CertiK riferisce che l’attaccante ha utilizzato Tornado Cash dopo avere spostato ingenti volumi di asset rubati tra più blockchain. In particolare, sono stati rilevati trasferimenti strutturati che hanno instradato Ether attraverso diversi indirizzi prima dell’ingresso nel mixer.
Il pattern individuato ricalca schemi di riciclaggio già osservati in precedenti furti su larga scala. Tuttavia, in questo caso la combinazione di movimenti tra reti diverse e suddivisione in più tranche ha reso il tracciamento ancora più complesso.
Dal Bitcoin a Ethereum: i passaggi chiave
L’attaccante avrebbe prima “bridgiato” una parte significativa dei Bitcoin sottratti verso la rete Ethereum, convertendoli successivamente in ETH. CertiK segnala che uno degli indirizzi di destinazione ha raggiunto un saldo di 19.600 ETH dopo il trasferimento cross-chain.
Detto ciò, questi fondi non sono entrati direttamente nel mixer: sono stati prima frazionati in importi minori e poi spostati attraverso ulteriori indirizzi, prima di confluire in Tornado Cash. Questa frammentazione mirava a diluire l’attenzione e allungare la catena di transazioni.
Riciclaggio con Tornado Cash e trasferimenti in batch
L’ammontare di 63 milioni di dollari rappresenta solo una parte del bottino totale, ma rivela comunque l’approccio sistematico adottato. Gli analisti hanno osservato trasferimenti ripetuti in batch, concepiti per ridurre i controlli e allungare il percorso di riciclaggio.
Inoltre, l’uso costante del mixer ha confermato l’intento dell’attaccante di cancellare ogni collegamento diretto con il furto iniziale. In contrasto con semplici spostamenti tra exchange, questa strategia sfrutta gli elementi di anonimizzazione tipici dei protocolli di mixing.
Tracciamento più difficile dopo i depositi sul mixer
I team di sicurezza nel settore crypto avvertono che i depositi su Tornado Cash riducono drasticamente le possibilità di recupero una volta completati i cicli di mixing. Questi strumenti spezzano i collegamenti visibili tra indirizzi e ostacolano le analisi su vasta scala.
Nel caso dell’attacco del 10 gennaio, la dinamica ha seguito esattamente questo schema. Prima di ogni ingresso nel mixer, sono state confermate ulteriori sequenze di passaggi tra wallet, così da “pulire” parzialmente i fondi e rendere più superficiale il tracciamento.
Indagini rallentate dopo i flussi verso Tornado Cash
L’arrivo dei fondi nel mixer ha rappresentato una barriera decisiva per le indagini successive. Secondo gli esperti, oltre questo punto le possibilità di ricostruire il percorso e risalire all’attore dietro l’operazione calano in modo significativo.
Alcune piattaforme hanno comunque individuato e bloccato piccole somme riconducibili all’hack. Tuttavia, tali interventi hanno interessato solo una frazione minima del totale, mentre la parte preponderante ha superato rapidamente la soglia di recuperabilità.
Pochi margini di mitigazione e recupero fondi
Le società di sicurezza sottolineano che le opzioni di mitigazione diventano molto limitate una volta coinvolti i mixer. Blocco degli indirizzi sospetti e segnalazioni agli exchange possono rallentare i prelievi, ma difficilmente permettono di recuperare somme rilevanti.
Nel complesso, il caso conferma come i flussi di fondi che entrano in protocolli di mixing riducano drasticamente il potere deterrente delle indagini on-chain. Inoltre, accentua le preoccupazioni per la crescente sofisticazione delle strategie di occultamento.
L’origine dell’hack: ingegneria sociale e seed phrase
Le verifiche a posteriori mostrano che la violazione è partita da un attacco di ingegneria sociale rivolto alla vittima. L’autore dell’attacco si è finto personale di supporto e ha ottenuto la seed phrase necessaria per accedere al wallet.
Una volta ottenuto il controllo, l’intruso ha avuto pieno accesso alle riserve di Bitcoin e Litecoin custodite nel conto compromesso. Questo ha permesso di lanciare in rapida successione una serie di trasferimenti verso indirizzi sotto il suo controllo.
Asset coinvolti e primi passaggi di riciclaggio
Il portafoglio violato deteneva oltre 1.459 BTC e più di 2 milioni di LTC prima del furto. Una parte di queste riserve è stata convertita in altri asset già nelle fasi iniziali del riciclaggio.
Inoltre, porzioni dei fondi sono state spostate tra diverse reti prima dei trasferimenti finali verso Tornado Cash. Questo ulteriore livello di complessità ha contribuito a rendere più opaca la traccia on-chain fin dalle prime ore successive alla violazione.
Prospettive delle indagini e rischi crescenti
Gli analisti di sicurezza continuano a monitorare eventuali nuovi movimenti, ma si attendono progressi limitati dopo l’ingresso dei fondi nel mixer. Le catene di transazioni risultano ormai fortemente frammentate.
Detto ciò, la ripetuta ricorrenza di schemi simili rafforza i timori legati all’aumento delle attività di riciclaggio cross-chain. Il caso del 10 gennaio si inserisce infatti in un quadro più ampio di operazioni che sfruttano protocolli di mixing per ostacolare le indagini su blockchain.
